EuGH: Kein angemessener Datenschutz in den USA
Die europäische Richtlinie über die Verarbeitung von personenbezogenen Daten (Richtlinie 95/46/EG) bestimmt, dass eine Übermittlung solcher Daten in ein Drittland außerhalb der EU grundsätzlich nur dann erfolgen darf, wenn das betreffende Drittland ein angemessenes Schutzniveau dieser Daten gewährleistet.
Die Europäische Kommission kann nach der Richtlinie feststellen, dass ein bestimmtes Drittland dieses Schutzniveau erreicht. Das geschah hinsichtlich der USA. Im Rahmen der so genannten „Safe-Harbour-Regelung“ stellte die Kommission im Jahre 2000 fest, dass die USA dieses Schutzniveau erfüllen würden.
Der Europäische Gerichtshof hat jetzt mit Urteil vom 06.10.2015 festgestellt, dass die nationalen Datenschutzbehörden bei einer Beschwerde eines Bürgers befugt sind, diese Feststellung der Kommission gerichtlich überprüfen zu lassen. Ist eine nationale Datenschutzbehörde oder die Person, die sie angerufen hat, also der Auffassung, dass eine Entscheidung der Kommission ungültig ist, muss diese Behörde oder diese Person die nationalen Gerichte anrufen können, damit diese, falls sie ebenfalls Zweifel an der Gültigkeit der Entscheidung der Kommission haben, die Sache dem Gerichtshof vorlegen können.
Der Gerichtshof prüft dann in dem Urteil die Gültigkeit der Entscheidung der Kommission hinsichtlich der USA selbst und stellt fest, dass die Kommission sich bei ihrer Feststellung darauf beschränkt hatte, die Safe-Harbor-Regelung zu prüfen. Diese gilt aber nur für die amerikanischen Unternehmen, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen.
Dann stellt der Gerichtshof fest, dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken.
Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt.
Damit erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig.
Unsere Meinung
Fachanwalt für IT-Recht Timo Schutt bewertet diese Entscheidung so:
„Das Urteil zwingt viele europäische Unternehmen zu sofortigem Handeln.
Letztlich bedeutet das Urteil, dass eine Übermittlung personenbezogener Daten in die USA nicht mehr zulässig ist, wenn und soweit diese Übermittlung nur aufgrund der Safe-Harbour-Regelung bzw. der Feststellung des angemessenen Schutzniveaus durch die Europäische Kommission erfolgt und nicht zwischen dem europäischen und dem US-Amerikanischen Unternehmen per ausdrücklicher Vereinbarung die Einhaltung eines aus europäischer Sicht angemessenen Datenschutzniveaus geregelt und vereinbart wird.
Es ist daher unbedingt zu empfehlen, alle Datenübermittlungen in die USA innerbetrieblich unverzüglich zu prüfen und ggf. schnellstmöglich in Verhandlungen mit den US-Dienstleistern über die Vereinbarung solcher individueller Verträge einzutreten.
Inhaltlich kann dem Urteil nur beigepflichtet werden. Es gibt keinen „sicheren Hafen“ in den USA, da durch verschiedene Gesetze, wie den Patriot-Act, amerikanische Behörden das jederzeitige Recht haben solche personenbezogenen Daten einzusehen und zu verwenden. Das hat mit einem angemessenen Datenschutzniveau aus europäischer Sicht nichts zu tun.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Die Europäische Kommission kann nach der Richtlinie feststellen, dass ein bestimmtes Drittland dieses Schutzniveau erreicht. Das geschah hinsichtlich der USA. Im Rahmen der so genannten „Safe-Harbour-Regelung“ stellte die Kommission im Jahre 2000 fest, dass die USA dieses Schutzniveau erfüllen würden.
Der Europäische Gerichtshof hat jetzt mit Urteil vom 06.10.2015 festgestellt, dass die nationalen Datenschutzbehörden bei einer Beschwerde eines Bürgers befugt sind, diese Feststellung der Kommission gerichtlich überprüfen zu lassen. Ist eine nationale Datenschutzbehörde oder die Person, die sie angerufen hat, also der Auffassung, dass eine Entscheidung der Kommission ungültig ist, muss diese Behörde oder diese Person die nationalen Gerichte anrufen können, damit diese, falls sie ebenfalls Zweifel an der Gültigkeit der Entscheidung der Kommission haben, die Sache dem Gerichtshof vorlegen können.
Der Gerichtshof prüft dann in dem Urteil die Gültigkeit der Entscheidung der Kommission hinsichtlich der USA selbst und stellt fest, dass die Kommission sich bei ihrer Feststellung darauf beschränkt hatte, die Safe-Harbor-Regelung zu prüfen. Diese gilt aber nur für die amerikanischen Unternehmen, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen.
Dann stellt der Gerichtshof fest, dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken.
Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt.
Damit erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig.
Unsere Meinung
Fachanwalt für IT-Recht Timo Schutt bewertet diese Entscheidung so:
„Das Urteil zwingt viele europäische Unternehmen zu sofortigem Handeln.
Letztlich bedeutet das Urteil, dass eine Übermittlung personenbezogener Daten in die USA nicht mehr zulässig ist, wenn und soweit diese Übermittlung nur aufgrund der Safe-Harbour-Regelung bzw. der Feststellung des angemessenen Schutzniveaus durch die Europäische Kommission erfolgt und nicht zwischen dem europäischen und dem US-Amerikanischen Unternehmen per ausdrücklicher Vereinbarung die Einhaltung eines aus europäischer Sicht angemessenen Datenschutzniveaus geregelt und vereinbart wird.
Es ist daher unbedingt zu empfehlen, alle Datenübermittlungen in die USA innerbetrieblich unverzüglich zu prüfen und ggf. schnellstmöglich in Verhandlungen mit den US-Dienstleistern über die Vereinbarung solcher individueller Verträge einzutreten.
Inhaltlich kann dem Urteil nur beigepflichtet werden. Es gibt keinen „sicheren Hafen“ in den USA, da durch verschiedene Gesetze, wie den Patriot-Act, amerikanische Behörden das jederzeitige Recht haben solche personenbezogenen Daten einzusehen und zu verwenden. Das hat mit einem angemessenen Datenschutzniveau aus europäischer Sicht nichts zu tun.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht